V tomto článku si ukážeme, jak nasadit a nasadit služby ADRMS (Active Directory Right Management Services) založené na systému Windows Server 2012 R2 v malé a střední organizaci pro ochranu obsahu..
Nejprve si krátce vybavte, co je služba AD RMS a proč je to nutné. Služba Služby správy práv Active Directory - Jedna ze standardních rolí systému Windows Server, která umožňuje chránit uživatelská data před neoprávněným použitím. Ochrana informací je realizována šifrováním a podepisováním dokumentů a vlastník dokumentu nebo souboru si může sám určit, kteří uživatelé mohou s chráněnými informacemi otevírat, upravovat, tisknout, odesílat a provádět další operace. Musíte pochopit, že ochrana dokumentů pomocí ADRMS je možná pouze v aplikacích vyvinutých s ohledem na tuto službu (aplikace podporující AD RMS). Díky službě AD RMS můžete chránit citlivá data uvnitř i vně podnikové sítě..
Při plánování a nasazení řešení AD RMS je třeba zvážit několik důležitých požadavků:
- Je vhodné použít vyhrazený server AD RMS. Nedoporučuje se kombinovat roli služby AD RMS s rolí řadiče domény, serveru Exchange, serveru SharePoint nebo certifikační autority (CA).
- Uživatelé AD musí mít vyplněný e-mailový atribut
- V počítačích uživatelů RMS musí být server přidán do zóny Důvěryhodné servery IE. Nejjednodušší způsob, jak toho dosáhnout, je prostřednictvím zásad skupiny..
Než začnete s přímým nasazením ADRMS, musíte dokončit řadu přípravných kroků. Nejprve musíte v Active Directory vytvořit samostatný servisní účet pro ADRMS s neomezeným heslem, například s názvem svc-adrms (pro ADRMS můžete vytvořit speciální spravovaný účet AD - například gMSA).
V zóně DNS vytvořte samostatný záznam prostředků směřující na server AD RMS. Řekněme, že se jmenuje - adrms.
Začínáme instalovat roli ADRMS na server se systémem Windows Server 2012 R2. Otevřete konzolu Správce služeb a nainstalujte roli Služba správy práv služby Active Directory (vše je zde jednoduché - stačí přijmout výchozí nastavení a závislosti).
Po dokončení instalace role ADRMS a přidružených rolí a funkcí klikněte na odkaz pro vstup do režimu konfigurace role ADRMS Proveďte další konfiguraci.
V průvodci nastavením vyberte, že vytvoříme nový kořenový cluster AD RMS (Vytvořte nový kořenový cluster AD RMS).
Jako databázi RMS budeme používat interní databázi Windows (Použijte interní databázi Windows na tomto serveru).
Tip. Přečtěte si více o WID. V produkčním prostředí doporučujeme používat samostatnou instanci serveru Microsoft SQL Server k hostování databáze RMS. Důvodem je skutečnost, že interní databáze Windows nepodporuje vzdálená připojení, což znamená, že taková architektura AD RMS nebude škálovatelná..Poté označíme dříve vytvořený účet služby (svc-adrms), použitý kryptografický algoritmus, způsob uložení klíče clusteru RMS a jeho heslo.
Zbývá nastavit webovou adresu klastru AD RMS, ke kterému budou mít klienti RMS přístup (doporučujeme použít zabezpečené připojení SSL).
Nezavírejte Průvodce konfigurací služby AD RMS!
Dalším krokem je instalace certifikátu SSL na webovou stránku IIS. Certifikát může být podepsán sám sebou (v budoucnu bude třeba jej přidat k důvěryhodným všem klientům) nebo může být vydán firemní / externí certifikační autoritou (CA). Vytvoříme certifikát pomocí existující firemní CA. Chcete-li to provést, otevřete konzolu Správce služby IIS (inetmgr) a přejděte do části Serverové certifikáty. V pravém sloupci klikněte na odkaz. Vytvořte certifikát domény (vytvořit certifikát domény).
Pomocí průvodce vytvořte nový certifikát a připojte jej k serveru IIS.
Vraťte se do konfiguračního okna role služby AD RMS a vyberte certifikát, který chcete použít k šifrování provozu služby AD RMS.
Všimněte si, že bod SCP musí být okamžitě zaregistrován v ADZaregistrujte SCP hned).
Poznámka:. K registraci bodu SCP ve službě Active Directory musíte mít práva Enterprise Admins.Tip. Abyste se ujistili, že bod zjišťování služby AD RMS - SCP (Service Connection Point) je registrován ve službě Active Directory, musíte otevřít konzolu dssite.msc. Poté přejděte na Služby -> RightManagementServices, v pravém podokně otevřete vlastnosti SCP. Ujistěte se, že hodnota atributu rozlišovacího jména vypadá takto: CN = SCP, CN = RightsManagementServices, CN = Services, CN = Configuration, DC = company, DC = coTím je dokončen proces instalace role AD RMS. Ukončete aktuální relaci (odhlášení) a přihlaste se k serveru.
Spusťte konzolu ADRMS.
Například vytvořte novou šablonu zásad RMS. Předpokládejme, že chceme vytvořit šablonu RMS, která umožní vlastníkovi dokumentu umožnit každému prohlížet písmena chráněná touto šablonou bez práva na úpravy / předávání. Chcete-li to provést, přejděte k části Šablony zásad práv a klikněte na tlačítko Vytvořte šablonu zásad pro distribuovaná práva.
Stisknutím tlačítka Přidat, přidejte jazyky podporované touto šablonou a název zásady pro každý z jazyků.
Dále označíme, že vše (Kdokoli) může zobrazit (Zobrazit) obsah dokumentu chráněného autorem.
Dále naznačujeme, že vypršení platnosti ochranné politiky je neomezené (Nikdy nevyprší).
V dalším kroku označujeme, že chráněný obsah lze prohlížet v prohlížeči pomocí rozšíření IE (Umožněte uživatelům prohlížet chráněný obsah pomocí doplňku prohlížeče).
Vyzkoušejte vytvořenou šablonu RMS v systému Windows XP Webová aplikace Outlook, proč vytvořit nové prázdné písmeno, jehož vlastnosti musíte kliknout na tlačítko Nastavte oprávnění. V rozbalovací nabídce vyberte název šablony (Email-View-Onl-Pro-Anyone).
Poznámka:. Pokud se seznam šablon RMS otevře s chybou nebo pokud vytvořené šablony chybí, zkontrolujte, zda je adresa serveru AD RMS v místní intranetové / důvěryhodné zóně a aktuální uživatel se může přihlásit k IMS serveru RMS..Pošlete e-mail chráněný službou RMS jinému uživateli.
Nyní uvidíme, jak chráněné písmeno vypadá v schránce příjemce.
Jak vidíme, tlačítka Odpovědět a Přeposlat nejsou k dispozici a informační panel označuje použitou šablonu ochrany dokumentů a jejího vlastníka.
V tomto článku jsme tedy popsali, jak rychle nasadit a nasadit službu AD RMS v malé organizaci. Mějte na paměti, že k plánování nasazení RMS ve středních a velkých společnostech je třeba přistupovat opatrněji, protože špatně pojatá struktura tohoto systému může v budoucnu způsobit řadu nevyřešitelných problémů.